View a markdown version of this page

Amazon-S3-Backups - AWS Backup
-ÜbersichtBackup-TieringVoraussetzungenUnterstützte Bucket-Typen, Mengen und ObjektgrößenUnterstützte S3-SpeicherklassenArten von BackupEventBridge Amazon-Abhängigkeit für kontinuierliche S3-BackupsVergleichen von S3-Backup-TypenZeitfenster für den Abschluss des S3-BackupsBewährte Methoden und Kostenüberlegungen für S3-BackupsS3-Backup-NachrichtenErweiterte Amazon S3 S3-Backup-Einstellungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-S3-Backups

-Übersicht

AWS Backup unterstützt die zentrale Sicherung und Wiederherstellung von Anwendungen, die Daten allein oder zusammen mit anderen Datenbank-, Speicher- und AWS Rechendiensten in S3 speichern. Für S3-Backups sind viele Features verfügbar, darunter Backup Audit Manager.

Sie können eine einzige Backup-Richtlinie verwenden AWS Backup , um die Erstellung von Backups Ihrer Anwendungsdaten zentral zu automatisieren. AWS Backup organisiert automatisch Backups für verschiedene AWS Dienste und Drittanbieteranwendungen an einem zentralen, verschlüsselten Ort (einem sogenannten Backup-Tresor), sodass Sie Backups Ihrer gesamten Anwendung zentral verwalten können. Für S3 können Sie kontinuierliche Backups erstellen und Ihre in S3 gespeicherten Anwendungsdaten wiederherstellen und die Backups mit einem einzigen Klick zu einem bestimmten Zeitpunkt wiederherstellen.

Backup-Tiering

Amazon S3 ist die einzige Ressource, die Backup-Tiering auf eine kostengünstigere Warm-Storage-Stufe unterstützt. Weitere Informationen finden Sie unter Backup-Tiering.

Voraussetzungen für S3-Backups

Berechtigungen und Richtlinien für Amazon-S3-Backup und -Wiederherstellung

Um S3-Ressourcen sichern, kopieren und wiederherstellen zu können, müssen Sie in Ihrer Rolle über die richtigen Richtlinien verfügen. Um diese Richtlinien hinzuzufügen, gehen Sie zu Durch AWS verwaltete Richtlinien. Fügen Sie den Rollen AWSBackupServiceRolePolicyForS3Restore, die Sie zum Sichern AWSBackupServiceRolePolicyForS3Backupund Wiederherstellen von S3-Buckets verwenden möchten, das und hinzu.

Wenn Sie nicht über ausreichende Berechtigungen verfügen, bitten Sie den Manager des Administratorkontos (Admin) Ihres Unternehmens, die Richtlinien den vorgesehenen Rollen hinzuzufügen.

Weitere Informationen hierzu finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im IAM-Benutzerhandbuch.

Backups und Versionierung

Sie müssen die S3-Versionierung in Ihrem S3-Bucket aktivieren, um sie AWS Backup für Amazon S3 verwenden zu können.

Wir empfehlen Ihnen, einen Ablaufzeitraum für den Lebenszyklus Ihrer S3-Versionen festzulegen.

Alle Objekte (einschließlich aller Versionen), die sich zu Beginn der Sicherung im Bucket befinden, werden am Wiederherstellungspunkt gespeichert (abgeschlossenes Backup). Dazu können die aktuelle Version jedes Objekts, ältere Versionen, Löschmarkierungen und Objekte gehören, für die Lebenszyklusaktionen noch ausstehen.

Die Speicherkosten werden für alle Objekte im Backup berechnet, einschließlich der Objekte, deren Löschung geplant ist (Objekte, die ablaufen). Sie können CLI oder Skripts verwenden, um die Aufnahme von Objekten zu entfernen, deren Ablauf geplant ist.

Um mehr über die Einrichtung von S3-Lebenszyklusrichtlinien zu erfahren, folgen Sie den Anweisungen auf dieser Seite.

Überlegungen zu Amazon S3 S3-Backups

Die folgenden Punkte sollten beim Backup von S3-Ressourcen beachtet werden:

  • Unterstützung für fokussierte Objektmetadaten — AWS Backup unterstützt die folgenden Metadaten: Tags, Zugriffskontrolllisten (ACLs), benutzerdefinierte Metadaten, das ursprüngliche Erstellungsdatum und die Versions-ID. Sie können auch alle gesicherten Daten und Metadaten mit Ausnahme des ursprünglichen Erstellungsdatums, der Versions-ID, der Speicherklasse und der E-Tags wiederherstellen.

  • AWS Backup Wendet beim Wiederherstellen eines S3-Objekts einen Prüfsummenwert an, auch wenn das ursprüngliche Objekt die Prüfsummenfunktion nicht verwendet hat.

  • Ein S3-Objektschlüsselname kann aus den meisten UTF-8 kodierbaren Zeichenketten bestehen. Die folgenden Unicode-Zeichen sind zulässig: #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF.

    Objektschlüsselnamen, die Zeichen enthalten, die nicht in dieser Liste enthalten sind, können von Backups ausgeschlossen werden.

  • Umstellung auf Cold Storage — Verwenden Sie die AWS Backup Lifecycle-Management-Richtlinie, um den Zeitplan für den Ablauf von Backups zu definieren. Die Umstellung von S3-Backups auf kalte Speichersysteme wird nicht unterstützt.

  • bemüht AWS Backup sich bei regelmäßigen Backups nach besten Kräften, alle Änderungen an Ihren Objektmetadaten nachzuverfolgen. Wenn Sie jedoch ein Tag oder eine ACL innerhalb einer Minute mehrmals aktualisieren, werden in AWS Backup möglicherweise nicht alle Zwischenstatus erfasst.

  • AWS Backup bietet keine Unterstützung für Backups von SSE-C-encryptedObjekten. AWS Backup unterstützt auch keine Backups von Bucket-Konfigurationen, einschließlich Bucket-Richtlinien, Einstellungen, Namen oder Zugriffspunkten.

  • AWS Backup unterstützt keine Backups von S3 on AWS Outposts.

  • CloudTrail Protokollierung — Wenn Sie Ereignisse beim Lesen von Daten protokollieren, müssen die CloudTrail Protokolle an einen anderen Ziel-Bucket gesendet werden. Wenn Sie CloudTrail Logs in dem Bucket speichern, den sie protokollieren, entsteht eine Endlosschleife, die zu unerwarteten Gebühren führen kann.

    Weitere Informationen finden Sie unter Datenereignisse im Benutzerhandbuch für CloudTrail .

  • Serverzugriffsprotokollierung — Wenn Sie die Serverzugriffsprotokollierung aktivieren, müssen die Protokolle an einen anderen Ziel-Bucket gesendet werden. Wenn Sie diese Protokolle in dem Bucket speichern, den sie protokollieren, entsteht eine Endlosschleife. Weitere Informationen finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung.

Unterstützte Bucket-Typen, Mengen und Objektgrößen

AWS Backup unterstützt Sicherungs- und Wiederherstellungsvorgänge für S3-Objekte beliebiger Größe, bis zu der von Amazon S3 unterstützten maximalen Objektgröße.

AWS Backup unterstützt die Sicherung und Wiederherstellung von S3-Buckets für allgemeine Zwecke. Verzeichnis-Buckets werden derzeit nicht unterstützt.

Die Obergrenze der in einem AWS Konto zulässigen Ressourcenmenge (auch als Kontingent bezeichnet), z. B. eines Buckets, hängt vom Dienst ab. Amazon S3 S3-Kontingente unterscheiden sich von AWS Backup Kontingenten.

In jedem AWS Konto können Sie standardmäßig Backups für bis zu 100 Buckets erstellen. Sie können eine Erhöhung des Kontingents auf bis zu 1.000 Buckets beantragen.

Für Konten mit mehr als 1.000 Buckets gelten Kontingentbeschränkungen. Wenn Anfragen das Kontingent überschreiten, kann dies zu fehlgeschlagenen Aufträgen führen. Es hat sich bewährt, ein Konto auf 1.000 Buckets zu beschränken.

Unterstützte S3-Speicherklassen

AWS Backup ermöglicht es Ihnen, Ihre in den folgenden S3-Speicherklassen gespeicherten S3-Daten zu sichern:

  • S3 Standard

  • S3-Standard — Seltener Zugriff (IA)

  • S3 Eins Zone-IA

  • S3 Glacier Instant Retrieval

  • S3 Intelligent-Tiering (S3 INT)

Backups eines Objekts in der Speicherklasse S3 Intelligent-Tiering (INT) greifen auf diese Objekte zu. Dieser Zugriff veranlasst S3 Intelligent-Tiering , diese Objekte automatisch in den häufigen Zugriff zu verschieben.

Backups, die auf die Stufen „Seltener Zugriff“ zugreifen, einschließlich der Zone-IA Klassen S3 Standard — Infrequent Access (IA) und S3 One, fallen unter die S3-Speichergebühr für den häufigen Zugriff (gilt für die Tarife Infrequent Access oder Archive Instant Access).

Die archivierten Speicherklassen S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive werden nicht unterstützt.

Weitere Informationen zu den Speicherpreisen für Amazon S3 finden Sie unter Amazon S3 S3-Preise.

S3-Backup-Typen

Mit AWS Backup können Sie die folgenden Arten von Backups Ihrer S3-Buckets erstellen, darunter Objektdaten, Tags, Zugriffskontrolllisten (ACLs) und benutzerdefinierte Metadaten:

  • Mit kontinuierlichen Backups können Sie die Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb der letzten 35 Tage vornehmen. Kontinuierliche Backups für einen S3-Bucket sollten nur in einem Backup-Plan konfiguriert werden.

    Eine Liste der unterstützten Dienste und Anweisungen zur Erstellung kontinuierlicher Backups finden AWS Backup Sie unter Point-in-TimeWiederherstellung.

  • Bei regelmäßigen Backups werden Snapshots Ihrer Daten verwendet, sodass Sie Daten für die angegebene Dauer von bis zu 99 Jahren aufbewahren können. Sie können regelmäßige Backups in Intervallen wie 1 Stunde, 12 Stunden, 1 Tag, 1 Woche oder 1 Monat planen. AWS Backup erstellt regelmäßige Backups während des Backup-Fensters, das Sie in Ihrem Backup-Plan definiert haben.

    Unter Erstellen eines Backup-Plans erfahren Sie, wie Ihr Backup-Plan auf Ihre Ressourcen AWS Backup angewendet wird.

Cross-account und regionsübergreifende Kopien sind für S3-Backups verfügbar, aber Kopien kontinuierlicher Backups verfügen nicht über Funktionen zur Wiederherstellung zu einem bestimmten Zeitpunkt.

Kontinuierliche und regelmäßige Backups von S3-Buckets müssen sich beide im selben Backup-Tresor befinden.

AWS Backup für S3 ist auf den Empfang von S3-Ereignissen über Amazon angewiesen EventBridge. Wenn diese Einstellung in den S3-Bucket-Benachrichtigungseinstellungen deaktiviert ist, werden fortlaufende Backups für diese Buckets gestoppt, bei denen die Einstellung deaktiviert ist. Weitere Informationen finden Sie unter EventBridge Amazon-Abhängigkeit für kontinuierliche S3-Backups.

Wenn Sie AWS Backup die EventBridge Amazon-Regel deaktivieren, wird auch Ihr kontinuierliches Backup gestoppt. Wenn Sie über einen aktiven Backup-Plan mit einer Regel für kontinuierliches Backup verfügen, AWS Backup wird bei erneuter Auslösung dieser Regel die EventBridge Amazon-Regel neu erstellt und ein neues kontinuierliches Backup erstellt.

Bei beiden Backup-Typen handelt es sich beim ersten Backup um ein vollständiges Backup, während nachfolgende Backups inkrementell auf Objektebene durchgeführt werden.

EventBridge Amazon-Abhängigkeit für kontinuierliche S3-Backups

Wenn Sie einen S3-Bucket für AWS Backup kontinuierliches Backup registrieren, AWS Backup wird automatisch eine von Amazon EventBridge verwaltete Regel in Ihrem Konto (benanntAwsBackupManagedRule-N) erstellt. Diese Regel abonniert die folgenden S3-Ereignisse in Ihrem Bucket und leitet sie an den Service weiter: AWS Backup

  • Objekt erstellt

  • ACL-Objekt aktualisiert

  • Objekt-Tags hinzugefügt

  • Gelöschte Objekt-Tags

  • Objekt gelöscht

Diese Ereignisse ermöglichen die Aufrechterhaltung des kontinuierlichen Wiederherstellungsfensters (Wiederherstellung AWS Backup zu einem bestimmten Zeitpunkt).

AWS Backup Um diese Ereignisse empfangen zu können, muss S3 so konfiguriert sein, dass sie im standardmäßigen EventBridge Amazon-Event-Bus veröffentlicht werden. Dies wird durch die EventBridge Amazon-Benachrichtigungseinstellung des Buckets gesteuert, die unabhängig von der Regel AWS Backup-managed ist.

Wichtig

Wenn die EventBridge Amazon-Benachrichtigungseinstellung auf Bucket-Ebene deaktiviert ist, beendet S3 die Veröffentlichung von Ereignissen auf Objektebene. Die EventBridge Amazon-Regel AWS Backup-managed bleibt aktiviert, empfängt aber keine Ereignisse für diesen Bucket. Dieser Fehler ist unbemerkt — es wird keine Benachrichtigung, Warnung oder fehlgeschlagener Backup-Job von AWS Backup generiert.

Stellen Sie sicher, EventBridge dass Amazon in Ihrem Bucket aktiviert ist

Konsole: Öffnen Sie die S3-Konsole, wählen Sie Ihren Bucket aus, wählen Sie den Tab Eigenschaften, scrollen Sie zu Event-Benachrichtigungen und vergewissern Sie sich, dass Amazon On EventBridge anzeigt.

CLI:

aws s3api get-bucket-notification-configuration --bucket amzn-s3-demo-bucket

Interpretieren Sie die Antwort wie folgt:

  • Wenn die Antwort enthält"EventBridgeConfiguration": {}, EventBridge ist Amazon aktiviert.

  • Wenn das EventBridgeConfiguration Feld in der Antwort fehlt, EventBridge ist Amazon deaktiviert.

EventBridge Amazon-Benachrichtigungen aktivieren

Konsole: Öffnen Sie die S3-Konsole, wählen Sie Ihren Bucket aus, wählen Sie Eigenschaften, scrollen Sie zu Event-Benachrichtigungen, wählen Sie Amazon EventBridge, wählen Sie Bearbeiten, schalten Sie ein und wählen Sie Speichern.

CLI:

aws s3api put-bucket-notification-configuration \
    --bucket amzn-s3-demo-bucket \
    --notification-configuration '{"EventBridgeConfiguration": {}}'
Wichtig

put-bucket-notification-configurationist eine Ersetzungsoperation, keine Zusammenführung. Wenn Ihr Bucket andere Benachrichtigungsziele (SNS, SQS, Lambda) hat, müssen Sie diese in denselben Aufruf aufnehmen. Andernfalls werden sie entfernt.

Was passiert, wenn Amazon in einem Bucket mit kontinuierlichem Backup deaktiviert EventBridge ist?

  • S3 beendet die Veröffentlichung von Ereignissen auf Objektebene für den Bucket.

  • Die EventBridge Amazon-Regel AWS Backup-managed bleibt aktiviert, empfängt aber keine Ereignisse für diesen Bucket.

  • Neue Objektänderungen, die nach der Deaktivierung vorgenommen wurden, werden im Fenster für die kontinuierliche Wiederherstellung nicht berücksichtigt.

  • Bestehende Wiederherstellungspunkte und der vorherige kontinuierliche Backup-Verlauf werden beibehalten (nicht gelöscht).

  • Geplante (periodische) Snapshot-Backup-Jobs, die im Plan definiert sind, werden weiterhin planmäßig ausgeführt — nur die kontinuierliche Nachverfolgung (PITR) ist betroffen.

  • Es wird keine Benachrichtigung oder Warnung generiert. Der Fehler ist von der AWS Backup Seite geräuschlos.

Erkennen Sie Änderungen an den EventBridge Amazon-Benachrichtigungseinstellungen

Da AWS Backup nicht erkannt werden kann, wann Amazon auf Bucket-Ebene deaktiviert EventBridge ist, sollten Sie eine proaktive Überwachung einrichten, um Sie zu benachrichtigen, wenn sich die Benachrichtigungseinstellungen ändern. Sie können einen oder beide der folgenden Ansätze verwenden:

  • CloudTrail + Amazon EventBridge — Erstellen Sie eine EventBridge Amazon-Regel, die PutBucketNotificationConfiguration API-Aufrufe abgleicht CloudTrail , um in Echtzeit zu benachrichtigen, wenn jemand die Benachrichtigungskonfiguration eines Buckets ändert. Das folgende Ereignismuster kann verwendet werden:

    {
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["PutBucketNotificationConfiguration"]
  }
}

    Dies CloudTrail muss aktiviert sein und S3-Verwaltungsereignisse protokollieren (standardmäßig aktiviert). Das Ziel (SNS, Lambda usw.) sollte die Ereignisdetails überprüfen, um festzustellen, ob EventBridge Amazon-Benachrichtigungen ausdrücklich entfernt wurden.

  • AWS Config— Verwenden Sie die AWS Config verwaltete Regel, s3-event-notifications-enabledum Buckets, die nicht den Anforderungen entsprechen, bei Konfigurationsänderungen zu kennzeichnen.

Erforderliche EventBridge Amazon-Berechtigungen für die Backup-Rolle

Die IAM-Rolle, die für S3-Jobs mit kontinuierlichem Backup (PITR) verwendet wird, muss über die folgenden EventBridge Amazon-Berechtigungen verfügen, um Folgendes verwalten AWS Backup zu können: AwsBackupManagedRule

{
  "Sid": "EventBridgePermissionsForAwsBackupManagedRule",
  "Effect": "Allow",
  "Action": [
    "events:DeleteRule",
    "events:PutTargets",
    "events:DescribeRule",
    "events:EnableRule",
    "events:PutRule",
    "events:RemoveTargets",
    "events:ListTargetsByRule",
    "events:DisableRule"
  ],
  "Resource": [
    "arn:aws:events:*:*:rule/AwsBackupManagedRule*"
  ]
},
{
  "Sid": "EventBridgeListRulesPermissions",
  "Effect": "Allow",
  "Action": "events:ListRules",
  "Resource": "*"
}

Die AWS verwaltete Richtlinie umfasst diese Berechtigungen AWSBackupServiceRolePolicyForS3Backup bereits. Wenn Sie eine benutzerdefinierte IAM-Rolle verwenden, müssen Sie sie explizit hinzufügen.

Re-enable kontinuierliche Backup-Abdeckung

Re-enable Amazon auf Bucket-Ebene EventBridge mithilfe der oben genannten Konsolen- oder CLI-Schritte. S3 nimmt die Veröffentlichung von Ereignissen wieder auf, und die verwaltete Regel leitet sie weiter an. AWS BackupÄnderungen, die vorgenommen wurden, während Amazon deaktiviert EventBridge war, werden nicht rückwirkend erfasst. Der bestehende Continuous Recovery Point und der vorherige Backup-Verlauf bleiben gültig.

Vergleichen von S3-Backup-Typen

Ihre Backup-Strategie für S3-Ressourcen kann nur kontinuierliche Backups, nur regelmäßige Backups (Snapshot) oder eine Kombination aus beidem beinhalten. Die folgenden Informationen können Ihnen bei der Auswahl helfen, was für Ihr Unternehmen am besten geeignet ist:

Nur kontinuierliche Backups:

  • Nachdem das erste vollständige Backup Ihrer vorhandenen Daten abgeschlossen ist, werden Änderungen an Ihren S3-Bucket-Daten nachverfolgt, sobald sie auftreten.

  • Die nachverfolgten Änderungen ermöglichen es Ihnen, zeitpunktbezogene Wiederherstellung (PITR) für die Aufbewahrungsdauer des kontinuierlichen Backups zu verwenden. Um einen Wiederherstellungsauftrag auszuführen, wählen Sie den Zeitpunkt aus, zu dem Sie die Wiederherstellung durchführen möchten.

  • Die Aufbewahrungsdauer jedes kontinuierlichen Backups beträgt maximal 35 Tage.

  • Für Sicherungspläne, die Sie über CLI erstellen, sind die erweiterten Backup-Einstellungen für Amazon S3 (einschließlich der Option, Tags und ACLs in das Backup aufzunehmen) standardmäßig aktiviert. Sie können diese in den Backup-Optionen ausschließen. Ein Beispiel Erweiterte Amazon S3 S3-Backup-Einstellungen für die Syntax finden Sie unter.

Nur regelmäßige Backups (Snapshots), geplant oder auf Abruf:

  • AWS Backup scannt den gesamten S3-Bucket, ruft die ACL und die Tags jedes Objekts ab und initiiert eine Head-Anfrage für jedes Objekt, das im vorherigen Snapshot enthalten war, aber in dem gerade erstellten Snapshot nicht gefunden wurde.

  • Das Backup ist zeitpunktbezogen konsistent.

  • Bei Datum und Uhrzeit des Backups handelt es sich um den Zeitpunkt, zu dem die Bearbeitung des Buckets AWS Backup abgeschlossen ist, nicht um den Zeitpunkt, zu dem ein Backup-Job erstellt wurde.

  • Das erste Backup eines Buckets ist ein vollständiges Backup. Jedes nachfolgende Backup ist inkrementell und stellt die Datenänderung seit dem letzten Snapshot dar.

  • Der Snapshot, der durch das regelmäßige Backup erstellt wird, kann eine Aufbewahrungsdauer von bis zu 99 Jahren haben.

Kontinuierliche Backups kombiniert mit periodic/snapshot Backups:

  • Nachdem das erste vollständige Backup Ihrer vorhandenen Daten (jeder Bucket) abgeschlossen ist, werden Änderungen an Ihrem Bucket nachverfolgt, sobald sie auftreten.

  • Sie können eine zeitpunktbezogene Wiederherstellung von einem kontinuierlichen Wiederherstellungspunkt aus durchführen.

  • Snapshots sind zeitpunktbezogen konsistent.

  • Snapshots werden direkt vom Punkt der kontinuierlichen Wiederherstellung aus aufgenommen, sodass ein Bucket nicht erneut gescannt werden muss, um schnellere Prozesse zu ermöglichen.

  • Snapshots und Punkte für kontinuierliche Wiederherstellung haben dieselbe Datenherkunft. Die Speicherung von Daten zwischen Snapshot-Punkten und Punkten für kontinuierliche Wiederherstellung erfolgt nicht doppelt.

  • Wenn erweiterte Amazon S3 S3-Backup-Einstellungen, wie das Einbeziehen von Tags und ACLs in ein Backup, für einen continuous Recovery Point geändert werden, AWS Backup stoppt dieser Recovery Point und erstellt einen neuen mit den aktualisierten Einstellungen.

Wenn ein kontinuierlicher Backup-Job für einen S3-Bucket ausgeführt wird, können Sie dennoch regelmäßige Backup-Jobs (Snapshot) initiieren. Es gilt jedoch das folgende Verhalten:

  • Snapshot-Backup-Jobs verwenden dieselben Backup-Optionen (ACLs- und Objekt-Tag-Einstellungen) wie das bestehende kontinuierliche Backup.

  • Wenn Sie für einen Snapshot-Job andere Backup-Optionen als für das kontinuierliche Backup angeben, verwendet der Snapshot-Job trotzdem die Einstellungen des kontinuierlichen Backups und wird mit dem Status „Mit Problemen abgeschlossen“ abgeschlossen abgeschlossen abgeschlossen.

    In diesem Fall wird Ihnen die folgende Statusmeldung angezeigt: "Periodic/snapshot backup for bucket <bucket name> has different backup options than the continuous backup. When using continuous backups along with snapshot backups for the same bucket, the snapshot will use the same settings for backing up ACLs and Object tags as the continuous backup."

Die folgende Tabelle zeigt, wann ein vollständiger Scan erforderlich ist, wenn ein Wechsel BackupOptions zu bestehenden kontinuierlichen Wiederherstellungspunkten erforderlich ist:

Verhalten bei vollständigem Scan, BackupOptions wenn geändert
Bisherige BackupOptions Neu BackupOptions Vollständiger Scan
BackupACLs und Backup aktiviert ObjectTags BackupACLs und Backup sind deaktiviert ObjectTags Nein
BackupACLs und Backup aktiviert ObjectTags BackupACLs aktiviert; Backup deaktiviert ObjectTags Nein
BackupACLs und Backup aktiviert ObjectTags BackupACLs deaktiviert; Backup aktiviert ObjectTags Nein
BackupACLs und Backup deaktiviert ObjectTags BackupACLs und Backup aktiviert ObjectTags Ja
BackupACLs aktiviert; Backup deaktiviert ObjectTags BackupACLs und Backup aktiviert ObjectTags Ja
BackupACLs deaktiviert; Backup aktiviert ObjectTags BackupACLs und Backup aktiviert ObjectTags Ja

Zeitfenster für den Abschluss des S3-Backups

Die folgende Tabelle enthält Beispiel-Buckets verschiedener Größen, um Ihnen bei der Schätzung der Abschlusszeit des ersten vollständigen Backups eines S3-Buckets behilflich zu sein. Die Backup-Zeiten variieren je nach Größe, Inhalt, Konfiguration und Einstellungen der einzelnen Buckets.

Bucket-Größe Anzahl der Objekte Geschätzte Zeit bis zum Abschluss des ersten Backups
425 GB (Gigabyte) 135 Mio. 31 Stunden
800 TB (Terabyte) 670 Mio. 38 Stunden
6 PB (Petabyte) 5 Milliarden 100 Stunden
370 TB (Terabyte) 7,5 Milliarden 180 Stunden

Bewährte Methoden und Kostenüberlegungen für S3-Backups

Bewährte Methoden für große Buckets

Für Buckets mit mehr als 300 Millionen Objekten:

  • Bei Buckets mit mehr als 300 Millionen Objekten kann die Backup-Rate beim ersten vollständigen Backup des Buckets bis zu 17.000 Objekte pro Sekunde erreichen (inkrementelle Backups haben eine andere Geschwindigkeit). Buckets mit weniger als 300 Millionen Objekten werden mit einer Geschwindigkeit von fast 1.000 Objekten pro Sekunde gesichert.

  • Kontinuierliche Backups werden empfohlen.

  • Wenn der Backup-Lebenszyklus für mehr als 35 Tage geplant ist, können Sie auch Snapshot-Backups für den Bucket in demselben Tresor aktivieren, in dem Ihre kontinuierlichen Backups gespeichert sind.

Optimierung der Backup-Strategie

  • Für Konten, die mindestens täglich oder häufiger Backups erstellen, können Kostenvorteile durch kontinuierliche Backups erzielt werden, wenn sich die Daten in den Backups zwischen den Backups nur minimal ändern.

  • Größere Buckets, die sich nicht häufig ändern, können von kontinuierlichen Backups profitieren, da dies zu niedrigeren Kosten führen kann, wenn Scans des gesamten Buckets zusammen mit mehreren Anfragen pro Objekt nicht an bereits vorhandenen Objekten (Objekten, die gegenüber dem vorherigen Backup unverändert sind) durchgeführt werden müssen.

  • Buckets, die mehr als 100 Millionen Objekte enthalten und im Vergleich zur Gesamtgröße des Backups eine geringe Löschrate aufweisen, können mit einem Backup-Plan, der sowohl ein kontinuierliches Backup mit einer Aufbewahrungsdauer von 2 Tagen als auch Snapshots einer längeren Aufbewahrung beinhaltet, Kostenvorteile erzielen.

  • Die regelmäßige Backup-Zeit (Snapshot) richtet sich nach dem Beginn des Backup-Vorgangs, wenn kein Bucket-Scan erforderlich ist. In einem Bucket, der sowohl kontinuierliche Backups als auch Snapshots enthält, sind keine Scans erforderlich, da in diesen Fällen Snapshots von einem kontinuierlichen Wiederherstellungspunkt stammen.

Objektlebenszyklus und Markierungen zum Löschen

  • S3-Lebenszyklusrichtlinien verfügen über ein optionales Feature namens Löschmarkierungen für abgelaufenes Objekt löschen. Wenn dieses Feature weggelassen wird, laufen Löschmarkierungen, manchmal in Millionenhöhe, ab, ohne dass ein Bereinigungsplan erforderlich ist. Wenn Buckets ohne dieses Feature gesichert werden, wirken sich zwei Probleme auf den Zeit- und Kostenaufwand aus:

    • Löschmarken werden genauso wie Objekte gesichert. Die Backup-Zeit und die Wiederherstellungszeit können abhängig vom Verhältnis von Objekten zu Löschmarkierungen beeinflusst werden.

    • Für jedes Objekt und jede Markierung, für die ein Backup erstellt wird, wird eine Mindestgebühr berechnet. Jeder Löschmarker wird genauso berechnet wie für ein 128-KB-Objekt.

Überlegungen zu den Kosten der Speicherklasse

  • AWS Backup Führt für jedes Objekt in einem einzelnen Objekt S3-GIR (Amazon S3 Glacier Instant Retrieval) mehrere Aufrufe durch, wodurch Abrufgebühren anfallen, wenn ein Backup durchgeführt wird.

    Ähnliche Abrufkosten fallen für Buckets mit Objekten in den Speicherklassen S3 One S3-IA und S3 One an. Zone-IA

AWS Optimierung der Servicekosten

  • Die Nutzung der Funktionen von AWS KMS, CloudTrail CloudWatch, Amazon und Amazon GuardDuty als Teil Ihrer Backup-Strategie kann zu zusätzlichen Kosten führen, die über den S3-Bucket-Datenspeicher hinausgehen. Weitere Informationen zum Anpassen dieser Features enthalten die folgenden Abschnitte:

    • Reduzierung der Kosten SSE-KMS mit Amazon S3 S3-Bucket-Schlüsseln im Amazon S3 S3-Benutzerhandbuch.

    • Sie können die CloudTrail Kosten senken, indem Sie AWS KMS Ereignisse ausschließen und S3-Datenereignisse deaktivieren:

      • AWS KMS Ereignisse ausschließen: Im CloudTrail Benutzerhandbuch gibt es unter Creating a trail in der Konsole (einfache Event-Selektoren) die Option, AWS KMS Ereignisse auszuschließen, um diese Ereignisse aus Ihrem Trail herauszufiltern (die Standardeinstellung umfasst alle KMS-Ereignisse):

        • Die Option zum Protokollieren oder Ausschließen von KMS-Ereignissen ist nur verfügbar, wenn Sie Verwaltungsereignisse in Ihrem Trail protokollieren. Wenn Sie Verwaltungsereignisse nicht protokollieren möchten, werden KMS-Ereignisse nicht protokolliert und Sie können die Einstellungen für die KMS-Ereignisprotokollierung nicht ändern.

        • AWS KMS Aktionen wie EncryptDecrypt, und erzeugen GenerateDataKey in der Regel eine große Menge (mehr als 99%) von Ereignissen. Diese Aktionen werden jetzt als Leseereignisse protokolliert. Low-volume, relevante KMS-Aktionen wie DisableDelete, und ScheduleKey (die in der Regel weniger als 0,5% des KMS-Ereignisvolumens ausmachen) werden als Write-Ereignisse protokolliert.

        • Um Ereignisse mit hohem Volume wie Encrypt, Decrypt und GenerateDataKey auszuschließen, aber dennoch relevante Ereignisse wie Disable, Delete und ScheduleKey zu protokollieren, wählen Sie Schreib-Verwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für AWS KMS -Ereignisse ausschließen.

      • Deaktivieren von S3-Datenereignissen: Standardmäßig werden Datenereignisse nicht von Trails und Ereignisdatenspeichern protokolliert. Deaktivieren Sie S3-Datenereignisse vor Ihrem ersten Backup, um die Kosten zu senken.

    • Um die CloudWatch Kosten zu senken, können Sie das Senden von CloudTrail Ereignissen an CloudWatch Logs beenden, wenn Sie einen Trail aktualisieren, um die CloudWatch Protokolleinstellungen zu deaktivieren.

    • Schätzung der GuardDuty Nutzungskosten im GuardDuty Amazon-Benutzerhandbuch.

S3-Backup-Nachrichten

Wenn ein Backup-Job abgeschlossen ist oder fehlschlägt, wird möglicherweise die folgende Meldung angezeigt. Anhand der folgenden Tabelle können Sie die mögliche Ursache für die Statusmeldung ermitteln.

Szenario Aufgabenstatus Fehlermeldung Beispiel

Alle Objekte konnten nicht für einen Snapshot oder ein erstes kontinuierliches Backup gesichert werden

FAILED

„Es wurden keine Objekte aus dem Quell-Bucket gesichert BucketName. Um über diese Fehler informiert zu werden, aktivieren Sie SNS-Ereignisbenachrichtigungen.“

Die Backup-Rolle hat nicht die Berechtigung, die ACL für die Objektversion abzurufen. Folglich wird keines der Objekte gesichert.

Alle Objekte konnten nicht für eine nachfolgende kontinuierliche Sicherung gesichert werden.

COMPLETED

„Es wurden keine Objekte aus dem Quell-Bucket gesichert BucketName. Um über diese Fehler informiert zu werden, aktivieren Sie SNS-Ereignisbenachrichtigungen.“

Erweiterte Amazon S3 S3-Backup-Einstellungen

AWS Backup bietet erweiterte Einstellungen, mit denen Sie steuern können, welche Metadaten in Ihren Amazon S3 S3-Backups enthalten sind. Sie können optional Access Control Lists (ACLs) und Objekt-Tags ausschließen. Dies kann hilfreich sein, wenn Ihre Objekte ohne ACLs und Objekt-Tags eingerichtet sind. Mit anderen Worten, wenn Sie keine ACLs oder Objekt-Tags für Ihre S3-Ressourcen verwenden, kann es für Sie von Vorteil sein, sie aus Ihren Backups auszuschließen.

Konfiguration der Sicherung von ACLs und Objekt-Tags

Sie können die Backup-Optionen für ACL und Objekt-Tags entweder über die AWS Backup Konsole oder über die AWS CLI konfigurieren.

Console
Konfigurieren Sie die ACL- und Tag-Optionen mithilfe der Konsole

  1. Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup/.

  2. Wählen Sie im Navigationsbereich Backup-Pläne und anschließend Backup-Plan erstellen aus.

  3. Erweitern Sie in den Einstellungen Ihres Backupplans die Option Erweiterte Backup-Einstellungen.

  4. Konfigurieren Sie für Amazon S3 S3-Ressourcen die folgenden Optionen:

    • ACLs sichern: Aktivieren Sie das Kontrollkästchen, um ACLs einzubeziehen, oder lassen Sie es deaktiviert, um sie auszuschließen.

      Objekt-Tags sichern: Aktivieren Sie das Kontrollkästchen, um Objekt-Tags in Ihr Backup aufzunehmen.

  5. Vervollständigen Sie die Konfiguration des Backup-Plans und wählen Sie Plan erstellen.

AWS CLI

Mit den folgenden Backup-Optionen können Sie wahlweise Access Control Lists (ACLs) und Objekt-Tags in Ihre Amazon S3 S3-Backups aufnehmen oder ausschließen:

ACLs sichern

Steuert, ob Objekt-ACLs in der Sicherung enthalten sind. Auf einstellen, disabled um ACLs auszuschließen. Standard: enabled

BackupObjectTags

Steuert, ob Objekt-Tags in der Sicherung enthalten sind. Auf einstellendisabled, um Tags auszuschließen. Standard: enabled

Konfigurieren Sie ACL- und Tag-Optionen mit dem AWS CLI

Um die Backup-Optionen für ACL und Object-Tags mithilfe von zu konfigurieren AWS CLI, verwenden Sie den update-backup-plan Befehl mit erweiterten Backup-Einstellungen:


aws backup update-backup-plan \
    --backup-plan-id "your-backup-plan-id" \
    --backup-plan '{
        "BackupPlanName": "MyS3BackupPlan",
        "Rules": [{
            "RuleName": "MyS3BackupRule",
            "TargetBackupVaultName": "MyBackupVault",
            "ScheduleExpression": "cron(0 2 ? * * *)",
            "Lifecycle": {
                "DeleteAfterDays": 30
            },
            "RecoveryPointTags": {},
            "CopyActions": [],
            "EnableContinuousBackup": false
        }],
        "AdvancedBackupSettings": [{
            "ResourceType": "S3",
            "BackupOptions": {
                "BackupACLs": "disabled",
                "BackupObjectTags": "disabled"
            }
        }]
    }'

Die BackupOptions Parameter steuern die Aufnahme von Metadaten:

  • "BackupACLs": "disabled"- Schließt ACLs aus Backups aus

  • "BackupObjectTags": "disabled"- Schließt Objekt-Tags aus Backups aus

  • "BackupACLs": "enabled"- Schließt ACLs in Backups ein (Standard)

  • "BackupObjectTags": "enabled"- Schließt Objekt-Tags in Backups ein (Standard)